入侵检测与入侵响应.ppt
《入侵检测与入侵响应.ppt》由会员分享,可在线阅读,更多相关《入侵检测与入侵响应.ppt(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、入侵检测与入侵响应 Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望防范入侵的几种方法n入侵预防入侵预防利用认证、加密和防火墙技术来保护系统不被入侵者攻击和破坏。n入侵检测入侵检测n容忍入侵容忍入侵当系统遭受一定的入侵或攻击的情况下,仍然能够提供所希望的服务。n入侵响应入侵响应入侵检测系统(IDS)n入侵(入侵(Intrusion):企图进入或滥用计算机系统的行为。n入侵检测入侵检测(Intrusion Detection):):对系统的运行状态进行监视,发现各种攻
2、击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。n入侵检测系统(入侵检测系统(Intrusion Detection System)进行入侵检测的软件与硬件的组合便是入侵检测系统入侵检测的分类(入侵检测的分类(1)n按照分析方法(检测方法)按照分析方法(检测方法)n异常检测异常检测(Anomaly Detection):首先总结正首先总结正常操作应该具有的特征(用户轮廓),常操作应该具有的特征(用户轮廓),当用户活当用户活动与正常行为有重大偏离时即被认为是入侵动与正常行为有重大偏离时即被认为是入侵 n误用检测误用检测(Misuse Detection):收集非正常操:收集
3、非正常操作的行为特征,建立相关的特征库,作的行为特征,建立相关的特征库,当监测的用当监测的用户或系统行为与库中的记录相匹配时,系统就认户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵为这种行为是入侵 入侵检测的分类(入侵检测的分类(2)n按照数据来源:按照数据来源:n基于主机:系统获取数据的依据是系统运行所在基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机的主机,保护的目标也是系统运行所在的主机n基于网络:系统获取的数据是网络传输的数据包,基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行保护的是网络的运行n混合型混合型入侵检测的分类(入
4、侵检测的分类(3)n按系统各模块的运行方式按系统各模块的运行方式n集中式:系统的各个模块包括数据的集中式:系统的各个模块包括数据的收集分析集中在一台主机上运行收集分析集中在一台主机上运行n分布式:系统的各个模块分布在不同分布式:系统的各个模块分布在不同的计算机和设备上的计算机和设备上入侵检测的分类(入侵检测的分类(4)n根据时效性根据时效性n脱机分析:行为发生后,对产生的数脱机分析:行为发生后,对产生的数据进行分析据进行分析n联机分析:在数据产生的同时或者发联机分析:在数据产生的同时或者发生改变时进行分析生改变时进行分析IDS能做什么?n监控网络和系统n发现入侵企图或异常现象n实时报警n主动响
5、应(非常有限)入侵响应系统(IRS)n入侵响应(Intrusion Response):当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行。n入侵响应系统(Intrusion Response System)实施入侵响应的系统入侵响应系统分类(1)n按响应类型n报警型响应系统n人工响应系统n自动响应系统入侵响应系统分类(2)n按响应方式:n基于主机的响应n基于网络的响应入侵响应系统分类(3)n按响应范围n本地响应系统n协同入侵响应系统响应方式(1)n记录安全事件 n产生报警信息 n记录附加日志 n激活附加入侵检测工具 n隔离入侵者IP n禁止被攻击对象的特定端口和服务 n隔离被攻击对象
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 响应
限制150内